Trace Id is missing
Siirry pääsisältöön
Microsoft Security

Mikä FIDO2 on?

Lue salasanattoman FIDO2-todentamisen perusteet sekä tietoja siitä, miten se toimii ja auttaa suojaamaan yksilöitä ja organisaatioita verkkohyökkäyksiä vastaan.

Pienennä riskejä salasanattoman todentamisen avulla

FIDO2 määritettynä

FIDO2 (Fast IDentity Online 2) on avoin standardi käyttäjien todentamiselle. Sen tarkoituksena on vahvistaa tapaa, jolla käyttäjät kirjautuvat online-palveluihin, yleisen luottamuksen lisäämiseksi. FIDO2 vahvistaa tietoturvaa ja suojaa yksityishenkilöitä ja organisaatioita kyberrikollisuutta vastaan käyttämällä tietojen kalastelun estäviä salattuja tunnistetietoja käyttäjätietojen vahvistamiseen.

FIDO2 on uusin avoimen todentamisen standardi, jonka on kehittänyt FIDO Alliance, Microsoftin ja muiden teknologia-alan, kaupallisten ja julkishallinnon organisaatioiden toimialayhteenliittymä. Allianssi julkaisi FIDO 1.0 -todennusstandardit, jotka esittelivät tietojen kalastelun estävän monimenetelmäisen todentamisen (MFA), vuonna 2014 ja uusimman salasanattoman todennusstandardin, FIDO2:n (kutsutaan myös nimellä FIDO 2.0 tai FIDO 2), vuonna 2018.

Mitä todentamisavaimet ovat ja miten ne liittyvät FIDO2:een?

Riippumatta siitä, kuinka pitkiä ne ovat tai kuinka usein niitä vaihdetaan, salasanat voivat vaarantua niiden tahallisen tai tahattoman jakamisen kautta. Jopa vahvan salasananvahvan salasanan suojausratkaisua käytettäessä jokainen organisaatio on jonkinasteisessa vaarassa joutua sellaisen tietojen kalastelun, hakkeroinnin ja muiden kyberhyökkäysten kohteeksi, joissa salasanoja varastetaan. Kun salasanat päätyvät vääriin käsiin, niitä voidaan käyttää verkkotilien, laitteiden ja tiedostojen luvattomaan käyttöön.

Todentamisavaimet ovat FIDO2-kirjautumistunnistetietoja, jotka luodaan julkisen avaimen salauksen avulla. Tämä salasanojen tehokas korvaaja parantaa kyberturvallisuutta samalla, kun kirjautumisesta tuettuihin verkkosovelluksiin ja -sivustoihin tulee perinteisiä menetelmiä käyttäjäystävällisempää.

Salasanaton FIDO2-todentaminen käyttää salausalgoritmeja luodakseen yksityisen ja julkisen todentamisavaimen pareja. Ne ovat pitkiä, satunnaisia lukuja, jotka liittyvät matemaattisesti toisiinsa. Avainparia käytetään käyttäjän todentamiseen suoraan käyttäjän laitteessa, olipa kyse pöytätietokoneesta, kannettavasta tietokoneesta, matkapuhelimesta tai suojausavaimesta. Todentamisavain voidaan sitoa yksittäiseen käyttäjälaitteeseen tai synkronoida automaattisesti käyttäjän useisiin laitteisiin pilvipalvelun kautta.

Miten FIDO2-todentaminen toimii?

Salasanaton FIDO2-todentaminen toimii yleensä käyttämällä todentamisavaimia tilin todentamisen ensimmäisenä ja ensisijaisena tekijänä. Kun käyttäjä rekisteröityy FIDO2-tuettuun online-palveluun, todentamista varten rekisteröity asiakaslaite luo avainparin, joka toimii vain kyseisessä verkkosovelluksessa tai -sivustossa.

Julkinen avain salataan ja jaetaan palvelun kanssa, mutta yksityinen avain pysyy suojattuna käyttäjän laitteessa. Kun käyttäjä sitten yrittää kirjautua palveluun, palvelu esittää asiakkaalle yksilöllisen haasteen. Asiakas aktivoi todentamisavainlaitteen allekirjoittaakseen pyynnön yksityisellä avaimella ja palauttaakseen sen. Tämä tekee prosessista salatusti suojatun tietojen kalastelulta.

FIDO2-todentajien tyypit

Ennen kuin laite voi luoda yksilöllisen FIDO2-todentamisavainjoukon, sen on vahvistettava, että käyttöoikeutta pyytävä käyttäjä ei ole luvaton käyttäjä tai jokin haittaohjelma. Se tekee tämän todentajalla, joka on laite, joka voi hyväksyä PIN-koodin, biometriset tiedot tai jonkin muun käyttäjän eleen.

FIDO-todentajia on kahdenlaisia:

Verkkovierailutodentajat (tai käyttöympäristöjen väliset)

Nämä todentajat ovat kannettavia laitteita, jotka ovat erillisiä käyttäjien asiakaslaitteista. Verkkovierailutodentajia ovat esimerkiksi suojausavaimet, älypuhelimet, tabletit, puettavat laitteet sekä muut laitteet, jotka muodostavat yhteyden asiakaslaitteisiin USB-protokollan tai lähikenttäviestinnän (NFC) ja langattoman Bluetooth-tekniikan avulla. Käyttäjät vahvistavat henkilöllisyytensä monin eri tavoin, esimerkiksi liittämällä FIDO-avaimen ja painamalla painiketta tai antamalla älypuhelimella biometriset tietonsa, kuten sormenjäljen. Verkkovierailutodentajia kutsutaan myös käyttöympäristöjen välisiksi todentajiksi, koska niiden avulla käyttäjät voivat todentaa useissa tietokoneissa missä ja milloin tahansa.

Käyttöympäristötodentajat (tai sidotut)

Nämä todentajat on upotettu käyttäjien asiakaslaitteisiin, olipa kyse sitten pöytätietokoneesta, kannettavasta tietokoneesta, tabletista tai älypuhelimesta. Käyttöympäristötodentajassa käyttäjän on kirjauduttava FIDO:n tukemiin palveluihin asiakaslaitteella, joka sisältää biometriset ominaisuudet ja laitteistosirut todentamisavainten suojaamista varten, ja todentaminen on tehtävä samalla laitteella yleensä biometristen tietojen tai PIN-koodin avulla.

Esimerkkejä biometrisiä tietoja käyttävistä käyttöympäristötodentajista ovat Microsoft Windows Hello, Apple Touch ID ja Face ID sekä Android Fingerprint.

FIDO2-tuettuihin palveluihin rekisteröityminen ja kirjautuminen:

Voit hyödyntää FIDO2-todentamisen tarjoamaa parannettua suojausta seuraavasti:

FIDO2-tuettuun palveluun rekisteröityminen:

Vaihe 1: Kun rekisteröidyt palveluun, sinua pyydetään valitsemaan tuettu FIDO-todentajamenetelmä.

Vaihe 2: Aktivoi FIDO-todentaja sen tukemalla yksinkertaisella eleellä, olipa kyseessä PIN-koodin antaminen, sormenjälkilukijan koskettaminen tai FIDO2-suojausavaimen syöttäminen.

Vaihe 3: Kun todentaja on aktivoitu, laitteesi luo yksityisen ja julkisen avaimen parin, joka on yksilöllinen laitteellesi, tilillesi ja palvelulle.

Vaihe 4: Paikallinen laitteesi tallentaa turvallisesti yksityisen avaimen ja todentamismenetelmään liittyvät luottamukselliset tiedot, kuten biometriset tiedot. Julkinen avain on salattu, ja avain sekä satunnaisesti luotu tunnistetietotunnus rekisteröidään palveluun ja tallennetaan sen todentajapalvelimeen.

FIDO2-tuettuun palveluun kirjautuminen:

Vaihe 1: Palvelu antaa salaushaasteen läsnäolosi vahvistamiseksi.

Vaihe 2: Suorita pyydettäessä sama todentajaele, jota käytit tilin rekisteröinnin aikana. Kun olet vahvistanut läsnäolosi eleellä, laitteesi käyttää sitten paikallisesti laitteeseesi tallennettua yksityistä avainta haasteen allekirjoittamiseen.

Vaihe 3: Laitteesi lähettää allekirjoitetun haasteen takaisin palveluun, joka vahvistaa sen turvallisesti rekisteröidyllä julkisella avaimella.

Vaihe 4: Kun kaikki on valmista, olet kirjautunut sisään.

Mitä hyötyä FIDO2-todentamisesta on?

Salasanattoman FIDO2-todentamisen etuja ovat parempi suojaus ja tietosuoja, käyttäjäystävällinen käyttökokemus ja parannettu skaalautuvuus. FIDO2 myös vähentää käyttöoikeuksien hallintaan liittyviä työmääriä ja kustannuksia.

  • Parantaa suojausta

    Salasanaton FIDO2-todentaminen tehostaa kirjautumissuojaustakirjautumissuojausta merkittävästi käyttämällä yksilöllisiä todentamisavaimia. FIDO2:n avulla hakkerit eivät voi helposti käyttää näitä arkaluonteisia tietoja tietojen kalasteluntietojen kalastelun, kiristysohjelmienkiristysohjelmien ja muiden yleisten kybervarkauden muotojen avulla. Biometriset tiedot ja FIDO2-avaimet auttavat myös poistamaan haavoittuvuuksia perinteisissä monimenetelmäisissä todentamismenetelmissä, kuten kertakäyttöisten tunnuskoodien lähettämisessä tekstiviestitse.

  • Parantaa käyttäjien yksityisyyttä

    FIDO-todennus vahvistaa käyttäjien yksityisyyttä tallentamalla turvallisesti yksityiset salausavaimet ja biometriset tiedot käyttäjien laitteisiin. Lisäksi koska tämä todennusmenetelmä luo yksilöllisiä avainpareja, se auttaa estämään palveluntarjoajia jäljittämästä käyttäjiä eri sivustoissa. Vastauksena kuluttajien huoliin biometristen tietojen mahdollisesta väärinkäytöstä, valtionhallinnot ovat säätäneet tietosuojalakeja, jotka estävät organisaatioita myymästä tai jakamasta biometrisiä tietoja.

  • Helpottaa käyttöä

    FIDO-todentamisen avulla käyttäjät voivat nopeasti ja kätevästi todentaa käyttäjätietonsa FIDO2-avainten, todentajasovellusten tai sormenjälkilukijoiden tai laitteisiin upotettujen kameroiden avulla. Vaikka käyttäjien on suoritettava toinen tai jopa kolmas suojausvaihe (esimerkiksi silloin, kun käyttäjätietojen tarkistaminen edellyttää useampaa kuin yhtä biometrista tietoa), he säästävät aikaa ja vaivaa, joka liittyy salasanojen luomiseen, ulkoa opettelemiseen, hallintaan ja palauttamiseen.

  • Parantaa skaalattavuutta

    FIDO2 on avoin, käyttöoikeudeton standardi, jonka avulla yritykset ja muut organisaatiot voivat skaalata salasanattoman todentamisen menetelmiä maailmanlaajuisesti. FIDO2:n avulla he voivat tarjota turvallisia ja tehokkaita kirjautumiskokemuksia kaikille työntekijöille, asiakkaille ja kumppaneille valitusta selaimesta ja käyttöympäristöstä riippumatta.

  • Yksinkertaistaa käyttöoikeuksien hallintaa

    IT-tiimien ei enää tarvitse ottaa käyttöön ja hallita salasanakäytäntöjä ja -infrastruktuuria, mikä pienentää kustannuksia ja vapauttaa tiimejä keskittymään arvokkaampaan toimintaan. Lisäksi tukipalveluiden henkilökunnan tuottavuus kasvaa, koska heidän ei tarvitse tukea salasanapohjaisia pyyntöjä, kuten salasanojen vaihtamista.

Mitä ovat WebAuthn ja CTAP2?

FIDO2-määritysjoukossa on kaksi osaa: Web Authentication (WebAuthn) ja Client-to-Authenticator Protocol 2 (CTAP2). Pääkomponentti, WebAuthn, on JavaScript-ohjelmointirajapinta, joka on toteutettu yhteensopivissa selaimissa ja ympäristöissä siten, että rekisteröidyt laitteet voivat suorittaa FIDO2-todentamisen. Internetin kansainvälinen standardiorganisaatio World Wide Web Consortium (W3C) kehitti WebAuthnin yhteistyössä FIDO Alliancen kanssa. WebAuthnista tuli virallinen W3C-verkkostandardi vuonna 2019.

FIDO Alliancen kehittämä toinen komponentti, CTAP2, sallii verkkovierailutodentajien, kuten FIDO2-suojausavainten ja mobiililaitteiden, olla yhteydessä FIDO2-tuettuihin selaimiin ja ympäristöihin.

Mitä ovat FIDO U2F ja FIDO UAF?

FIDO2 on kehittynyt FIDO 1.0:sta, joka on ensimmäinen allianssin vuonna 2014 julkaisema FIDO-todentamismääritys. Nämä alkuperäiset määritykset sisälsivät FIDO Universal Second Factor (FIDO U2F) -protokollan ja FIDO Universal Authentication Framework (FIDO UAF) -protokollan.

Sekä FIDO U2F että FIDO UAF ovat monimenetelmäisen todentamisen muotoja, joissa edellytetään kahta tai kolmea todistetta (tai tekijää) käyttäjän vahvistamiseen. Nämä tekijät voivat olla asioita, jotka vain käyttäjä tietää (kuten tunnus- tai PIN-koodi), jotka hän omistaa (kuten FIDO-avain tai todentajasovellus mobiililaitteessa) tai mitä hän on (kuten biometriset tiedot).

Lue lisää näistä määrityksistä:

FIDO U2F

FIDO U2F vahvistaa salasanapohjaisia valtuutusstandardeja kaksiosaisella todentamismenetelmällä (2FA), joka vahvistaa käyttäjän kahdella todisteella. FIDO U2F -protokolla edellyttää, että henkilö antaa kelvollisen käyttäjänimen ja salasanan yhdistelmän ensimmäisenä tekijänä ja käyttää sitten USB-, NFC- tai Bluetooth-laitetta toisena tekijänä, jolla todennetaan yleensä painamalla painiketta tai antamalla aikasidonnainen kertakäyttöinen salasana.

FIDO U2F on CTAP 1:n seuraaja ja CTAP2:n edeltäjä, jonka avulla käyttäjät voivat käyttää FIDO-avainten lisäksi mobiililaitteita toisen tekijän laitteina.

FIDO UAF

FIDO UAF mahdollistaa monimenetelmäisen salasanattoman todentamisen. Se edellyttää, että henkilö kirjautuu ensimmäisenä tekijänä sisään FIDO-rekisteröidyllä asiakaslaitteella, joka vahvistaa käyttäjän läsnäolon PIN-koodilla tai biometrisella tarkistuksella, kuten sormenjäljellä tai kasvojen tarkistuksella. Laite luo sitten yksilöllisen avainparin toisena tekijänä. Sivusto tai sovellus voi käyttää myös kolmatta tekijää, kuten biometrisiä tietoja tai käyttäjän maantieteellistä sijaintia.

FIDO UAF on salasanattoman FIDO2-todentamisen edeltäjä.

FIDO2:n käyttöönotto

FIDO2-standardin käyttöönotto sivustoissa ja sovelluksissa edellyttää, että organisaatiollasi on nykyaikainen laitteisto ja ohjelmisto. Onneksi kaikki johtavat verkkoympäristöt, kuten Microsoft Windows, Apple iOS ja MacOS sekä Android-järjestelmät, ja kaikki tärkeimmät selaimet, kuten Microsoft Edge, Google Chrome, Apple Safari ja Mozilla Firefox, tukevat FIDO2:ta. Käyttämäsi käyttäjätietojen ja käyttöoikeuksien hallintaratkaisun (IAM)käyttäjätietojen ja käyttöoikeuksien hallintaratkaisun (IAM) on myös tuettava FIDO2-todentamista.

Yleisesti ottaen FIDO2-todentamisen käyttöönotto uusissa tai olemassa olevissa sivustoissa ja sovelluksissa edellyttää seuraavia keskeisiä vaiheita:

  1. Määritä käyttäjän kirjautumiskokemus sekä todentamismenetelmät ja määritä käyttöoikeuksien valvonnankäyttöoikeuksien valvonnan käytäntöjä.
  2. Luo uusia tai muokkaa olemassa olevia rekisteröinti- ja kirjautumissivuja asianmukaisilla FIDO-protokollamäärityksillä.
  3. Määritä FIDO-palvelin FIDO-rekisteröinti- ja todentamispyyntöjen todentamista varten. FIDO-palvelin voi olla erillinen palvelin, se voi integroitua verkko- tai sovelluspalvelimeen tai sen voi tarjota IAM-moduulina.
  4. Luo uusia tai muokkaa aiemmin luotuja todentamisen työnkulkuja.

FIDO2 ja biometristen tietojen todentaminen

Biometristen tietojen todentaminen käyttää henkilön yksilöllisiä biologisia tai toiminnallisia ominaisuuksia vahvistaakseen, että henkilö on se, joka hän väittää olevansa. Biometriset tiedot kerätään ja muunnetaan biometrisiksi malleiksi, joita voi käyttää vain salaisella algoritmilla. Kun henkilö yrittää kirjautua sisään, järjestelmä kaappaa tiedot, muuntaa ne ja vertaa niitä tallennettuihin biometrisiin tietoihin.

Biometrisen todentamisen esimerkkejä ovat seuraavat:

Biologinen

  • Sormenjälkitarkistus
  • Verkkokalvotarkistus
  • Puheentunnistus
  • DNA-vastaavuus
  • Suonitarkistus

Toiminnallinen

  • Kosketusnäytön käyttö
  • Kirjoitusnopeus
  • Pikanäppäimet
  • Hiiren toiminta

Biometrinen todentaminen on todellisuutta nykypäivän digitaalisissa hybridityöpaikoissa. Työntekijät pitävät siitä, että se antaa heille joustavuutta todentaa nopeasti ja turvallisesti missä tahansa. Yritykset pitävät siitä, että se vähentää hyökkäyspintaa merkittävästi ja estää kyberrikollisuutta, joka saattaisi muuten kohdistua heidän tietoihinsa ja järjestelmiinsä.

Biometrinen todentaminen ei kuitenkaan ole täysin hakkerinpitävää. Huonoaikeiset toimijat voivat esimerkiksi tekeytyä joksikin henkilöksi hänen biometristen tietojensa, kuten valokuvan tai silikonisen sormenjäljen, avulla. He voivat myös yhdistää useita sormenjälkitarkistuksia luodakseen ensisijaisen tarkistuksen, joka antaa heille pääsyn useisiin käyttäjätileihin.

Muitakin haittapuolia biometrisella todentamisella on. Esimerkiksi jotkin kasvojentunnistusjärjestelmät ovat asenteellisia naisia ja tummaihoisia henkilöitä kohtaan. Lisäksi jotkin organisaatiot tallentavat biometriset tiedot tietokantapalvelimiin käyttäjien laitteiden sijaan, mikä herättää kysymyksiä suojauksesta ja tietosuojasta. Monimenetelmäinen biometrinen todentaminen on kuitenkin edelleen yksi turvallisimmista menetelmistä käyttäjätietojen tarkistamista varten.

Esimerkkejä FIDO2-todentamisesta

Käyttäjätietojen tarkistamisen suojaus- ja logistiset vaatimukset vaihtelevat organisaatioiden sisällä ja niiden välillä. Seuraavassa on yleisiä tapoja, joilla eri toimialojen organisaatiot toteuttavat FIDO2-todentamisen.

  • Pankki-, rahoitus- ja vakuutuspalvelut

    Arkaluonteisten yritys- ja asiakastietojen suojaamiseksi yrityksen toimistoissa työskentelevät työntekijät käyttävät usein yrityksen tarjoamia pöytätietokoneita tai kannettavia tietokoneita käyttöympäristötodentajien kanssa. Yrityskäytäntö kieltää heitä käyttämästä näitä laitteita henkilökohtaiseen käyttöön. Paikalliset konttori- ja puhelinkeskustyöntekijät käyttävät usein jaettuja laitteita ja vahvistavat käyttäjätietonsa verkkovierailutodentajien avulla.

  • Ilmailu ja lentoyhtiöt

    Näiden alojen organisaatioiden on otettava huomioon myös henkilöt, jotka työskentelevät eri sijainneissa ja joilla on erilaisia vastuualueita. Johtohenkilöt sekä henkilöstöhallinnon ja muut toimistopohjaiset työntekijät käyttävät usein erillisiä pöytätietokoneita ja kannettavia tietokoneita ja todentavat joko käyttöympäristö- tai verkkovierailutodentajien kanssa. Lentokenttien palveluhenkilöstö, lentokonemekaanikot ja matkustamohenkilökunta käyttävät usein laitteiston suojausavaimia tai todentajasovelluksia henkilökohtaisissa älypuhelimissaan todentaakseen jaetuissa tableteissa tai työasemissa.

  • Teollisuus

    Tuotantolaitosten fyysisen turvallisuuden varmistamiseksi valtuutetut työntekijät ja muut henkilöt käyttävät ovien avaamiseen verkkovierailutodentajia, kuten FIDO2-älykortteja ja FIDO2-avaimia, tai rekisteröityjä henkilökohtaisia älypuhelimia käyttöympäristötodentajien kanssa. Lisäksi tuotesuunnittelutiimit käyttävät usein erillisiä pöytätietokoneita tai kannettavia tietokoneita käyttöympäristötodentajien kanssa, jotta he voivat käyttää online-suunnittelujärjestelmiä, jotka sisältävät omistusoikeudellisia tietoja.

  • Pelastuspalvelut

    Julkiset ja muut pelastuspalveluntarjoajat eivät voi aina todentaa ensihoitajia ja muuta hoitohenkilöstöä sormenjälki- tai verkkokalvotarkistuksella. Usein näillä henkilöillä on suojakäsineet tai suojalasit juuri silloin, kun heidän pitää nopeasti käyttää online-palveluja. Näissä tapauksissa heidät tunnistetaan puheentunnistusjärjestelmien avulla. Uusia tekniikoita korvan muodon skannaamiseen älypuhelimilla voidaan myös käyttää.

Luo mielenrauhan tuovaa suojausta FIDO2:n avulla

Salasanaton todentaminenSalasanaton todentaminen on nopeasti muuttumassa käyttäjätietojen ja käyttöoikeuksien hallinnan parhaaksi käytännöksi. Ottamalla FIDO2:n käyttöön tiedät, että käytät luotettua standardia sen varmistamiseen, että käyttäjät ovat sitä, mitä he sanovat olevansa.

Aloita FIDO2:n käyttö arvioimalla huolellisesti organisaatiosi ja toimialasi vaatimukset käyttäjätietojen tarkistamista varten. Sen jälkeen voit tehostaa ja nopeuttaa FIDO2-toteutusta Microsoft Entra ID:llä (aiemmin Azure Active Directory). Microsoft Entra ID:n ohjattu salasanattomien menetelmien luominen yksinkertaistaa Windows Hello yrityksille, Microsoft Authenticator-sovelluksen ja FIDO2-suojausavainten hallintaa.

Lue lisää Microsoft Securitystä

Microsoft Entra ID (aiemmin Azure Active Directory)

Suojaa resurssien ja tietojen käyttö vahvan todentamisen sekä riskipohjaisten mukautuvien käyttöoikeuksien avulla.

Lue lisää

Microsoft Entra Identity Governance

Paranna tuottavuutta ja vahvista suojausta automatisoimalla sovellusten ja palveluiden käyttöoikeus.

Lue lisää

Microsoft Entran käyttöoikeuksien hallinta

Hallitse kaikkien käyttäjätietojen tai resurssien oikeuksia monipilvi-infrastruktuurissasi.

Lue lisää

Microsoft Entran varmennettu tunnus

Anna ja vahvista työpaikan tunnistetiedot ja muut tunnistetiedot luottavaisin mielin avoimen standardin ratkaisun avulla.

Lue lisää

Microsoft Entran kuormitustunnukset

Pienennä riskiä myöntämällä sovelluksille ja palveluille ehdollinen käyttöoikeus pilviresursseihin yhdessä paikassa.

Lue lisää

Usein kysytyt kysymykset

  • FIDO2 eli Fast IDentity Online 2 on FIDO Alliancen julkaisema uusin avoimen todentamisen standardi. Microsoftin ja muiden teknologia-alan, kaupallisten ja julkishallinnon organisaatioiden muodostama allianssi pyrkii poistamaan salasanojen käytön Internetistä.

    FIDO2-määritykset sisältävät verkkotodentamisen (WebAuthn) eli verkko-ohjelmointirajapinnan, jonka avulla online-palvelut voivat kommunikoida FIDO2-käyttöympäristötodentajien (kuten verkkoselaimiin ja käyttöympäristöihin upotetut sormenjälki- ja kasvojentunnistustekniikat) kanssa. WebAuthn on World Wide Web Consortiumin (W3C) yhteistyössä FIDO Alliancen kanssa kehittämä virallinen W3C-standardi.

    FIDO2 sisältää myös allianssin kehittämän Client-to-Authenticator Protocol 2 (CTAP2) -protokollan. CTAP2 yhdistää verkkovierailutodentajat (kuten ulkoiset FIDO2-suojausavaimet ja mobiililaitteet) FIDO2-asiakaslaitteisiin USB:n, BLE:n tai NFC:n kautta.

  • FIDO2 on avoin ja lisenssitön standardi monimenetelmäiselle salasanattomalle todentamiselle mobiili- ja työpöytäympäristöissä. FIDO2 toimii käyttämällä salasanojen sijaan julkisen avaimen salausta käyttäjätietojen vahvistamiseen sekä sellaisten kyberrikollisten estämiseen, jotka yrittävät varastaa käyttäjän tunnistetietoja tietojen kalastelun, haittaohjelmien ja muiden salasanapohjaisten hyökkäysten avulla.

  • FIDO2-todentamisen etuja ovat parempi suojaus ja tietosuoja, käyttäjäystävällinen käyttökokemus ja parannettu skaalautuvuus. FIDO2 yksinkertaistaa myös IT-tiimien ja tukipalveluhenkilöstön käyttöoikeuksien hallintaa vähentämällä käyttäjänimien ja salasanojen hallintaan liittyviä työmääriä ja kustannuksia.

  • FIDO2-avain, jota kutsutaan myös FIDO2-suojausavaimeksi, on fyysinen laite, jota tarvitaan kaksiosaiseen ja monimenetelmäiseen todentamiseen. FIDO-verkkovierailutodentajana se muodostaa yhteyden FIDO2-asiakaslaitteeseen USB:n, NFC:n tai Bluetoothin avulla, jolloin käyttäjät voivat todentaa useissa tietokoneissa niin toimistolla, kotona tai jossakin muussa sijainnissa.

    Asiakaslaite tarkistaa käyttäjän henkilöllisyyden pyytämällä häntä käyttämään FIDO2-avainta eleen tekemiseen, kuten sormenjälkilukijan koskettamiseen, painikkeen painamiseen tai PIN-koodin syöttämiseen. FIDO2-avaimia ovat laajennusavaimet, älypuhelimet, tabletit, puettavat laitteet ja muut laitteet.

  • Organisaatiot ottavat käyttöön FIDO2-todentamismenetelmiä yksilöllisten suojaus-, logistiikka- ja toimialavaatimustensa perusteella.

    Esimerkiksi pankit ja tutkimuskeskeiset valmistajat edellyttävät usein, että toimisto- ja muut työntekijät käyttävät yrityksen tarjoamia, vain yrityskäyttöön käytettäviä pöytätietokoneita ja kannettavia tietokoneita käyttöympäristötodentajien kanssa. Organisaatiot, joissa on liikkeellä olevia henkilöitä, kuten lentoyhtiön matkustamohenkilökunta ja ensihoitotiimit, käyttävät sen sijaan usein jaettuja tabletteja tai työasemia ja todentavat sitten älypuhelimensa suojausavaimien tai todentajasovellusten avulla.

Seuraa Microsoft 365:tä